DIGITALISIERUNG
14 Die Volkswirtschaft 11/2015
der Grundlage von Artikel 170 der Bundesverfas- sung überprüfen zu lassen. Ziel war es, die Wirk- samkeit des Gesetzes zu beurteilen.1 Angesichts des sehr breiten Anwendungsbereichs des DSG und der beschränkten Ressourcen konzentrier- te sich die Evaluation auf bestimmte Aspekte, namentlich die Bekanntheit und die Umset- zungsmechanismen. Ausreichend ist der Schutz demnach in Bereichen, in denen die Herausfor- derungen bereits bekannt waren, als der Geset- zestext in Kraft trat. Die seither erfolgten techno- logischen und gesellschaftlichen Entwicklungen bergen dagegen viele neue Gefahren für den Da- tenschutz, denen das Gesetz in gewissen Situa- tionen nicht mehr genügend entgegenzusetzen hat.2
Aufgrund dieser Feststellung beauftragte der Bundesrat das Eidgenössische Justiz- und Polizeidepartement (EJPD), dem das BJ unter- steht, in Erfahrung zu bringen, mit welchen ge- setzgeberischen Massnahmen diese Lücken ge- schlossen werden könnten. Bei dieser Prüfung hatte das EJPD laufende Reformen in Europa zu berücksichtigen, da die EU derzeit einen Verord- nungsvorschlag3 sowie eine Richtlinie4 erarbeitet und der Europarat die Datenschutzkonvention SEV 1085 aktualisiert.
Der Inhalt dieser Texte ist für die Schweiz wichtig. Denn der Vorschlag für die Richtlinie gilt als Weiterentwicklung des Schengen-Ab- kommens, weshalb die Schweiz diese Bestim- mungen für Datenbearbeitungen übernehmen muss, die im Zusammenhang mit der polizeili- chen und justiziellen Zusammenarbeit aufgrund der Abkommen stehen. Auch den Verordnungs- vorschlag könnte die EU als Weiterentwicklung des Dublin-Abkommens einstufen, womit die Bestimmungen für die Schweiz bindend wären.
D
as Bundesgesetz über den Datenschutz (DSG, SR 235.1) wurde am 19. Juni 1992 vom Parlament verabschiedet. Ziel war es, das gestie- gene Risiko von Persönlichkeitsverletzungen einzudämmen, das sich aus der Nutzung mo- derner Informations- und Kommunikations- technologien und einer massiv gewachsenen Datenbearbeitung ergab. Damals sah die Lage beim Datenschutz jedoch ganz anders aus als heute. Internet für alle war noch Zukunftsmusik, ebenso die Verfügbarkeit von IT-Geräten für die gesamte Bevölkerung. Heute sind Computer, Mo- biltelefone und Tablets mit Internetzugang eine Selbstverständlichkeit. Das Internet der Dinge, Geolokalisierung, Big Data, soziale Netzwerke und Cloud-Computing sind Realität geworden.Anpassung der Gesetzgebung an den technischen Fortschritt und an das EU-Recht
Aufgrund dieser technologischen Entwicklung und der Tatsache, dass der Datenschutz einen Grossteil der Bevölkerung betrifft, entschied 2008 das Bundesamt für Justiz (BJ), das DSG auf
Revision des Bundesgesetzes
über den Datenschutz: Transparenz und Kontrolle im Fokus
Die Technologie und der Rechtsrahmen unter Schengen / Dublin entwickeln sich ständig weiter. Die Schweizer Gesetzgebung muss Schritt halten. Camille Dubois
Abstract Das Bundesgesetz über den Datenschutz (DSG) ist seit 1992 in Kraft. Auf- grund des rasanten technologischen Fortschritts entschied 2008 das Bundesamt für Justiz (BJ), überprüfen zu lassen, ob das Gesetz noch genügend Schutz bietet.
Die Analyse ergab, dass dies nicht in allen Situationen der Fall ist. Der Bundesrat beauftragte deshalb das Eidgenössische Justiz- und Polizeidepartement (EJPD) mit der Erarbeitung einer Revisionsvorlage. Diese soll es der Schweiz insbesondere ermöglichen, die neue Datenschutzkonvention SEV 108 des Europarats zu ratifi- zieren und relevante neue EU-Bestimmungen im Rahmen von Schengen/Dublin zu übernehmen. Kernpunkte der Revision sind transparentere Datenbearbeitungen, eine bessere Datenherrschaft und -kontrolle, weiter gehende Befugnisse für den Eidgenössischen Datenschutzbeauftragten sowie die Förderung Guter Praktiken und der Selbstregulierung. Spätestens Ende August 2016 muss die Revisionsvor- lage zur externen Vernehmlassung unterbreitet werden.
1 Gewisse Bestimmun- gen, beispielsweise jene vom 1. Januar 2008 (AS 2007 4983) und vom 1. Dezember 2010 (AS 2010 3387), wurden ausdrücklich von der Evaluation ausgenom- men, da der zeitliche Abstand für eine Beur- teilung ihrer Wirkung noch zu kurz ist.
2 Evaluation des Bundesgesetzes über den Datenschutz – Schlussbericht, 10.
März 2011, S. 172 und 213 ff.; online abrufbar auf der Website des BJ www.ofj.admin.ch;
Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz BBl 2012 335
SCHWERPUNKT
Die Volkswirtschaft 11/2015 15
Der Eidgenössische Datenschutz
beauftragte könnte mit der geplanten Gesetzesrevision mehr Kompetenzen erhalten. Der Be
auftragte Hanspeter Thür spricht mit Journalisten.
KEYSTONE
Abgesehen von diesen Überlegungen ist es im eigenen Interesse der Schweiz, sich an der eu- ropäischen Gesetzgebung zu orientieren, da die schweizerischen Gesetze nur dann als gleichwer- tig anerkannt werden dürften.6 Diese Reformen sollten bis 2016 abgeschlossen sein.
Die Revision ist auf Kurs
Im Frühling 2015 beauftragte der Bundesrat das EJPD im Anschluss an den Bericht7 der Be- gleitgruppe mit der Ausarbeitung einer Revisi- onsvorlage bis Ende August 2016. Die Vorlage soll namentlich die Grundlage dafür schaffen, dass die Schweiz die neue Datenschutzkonven- tion SEV 108 des Europarats ratifizieren und die neue Richtlinie und die neue Verordnung der EU im nationalen Recht umsetzen kann, soweit es sich um eine Weiterentwicklung von Schengen/
Dublin handelt. Die Revision muss ausserdem die Umsetzung der Empfehlung erleichtern, die von den europäischen Experten im Rahmen der Schengen-Evaluation 2014 herausgegeben wur- de. Die Vorlage könnte Massnahmen mit folgen- den Stossrichtungen vorsehen:
1. Förderung Guter Praktiken und der Selbstre- gulierung. Hier ginge es insbesondere darum, eine Stelle (z. B. einen Expertenausschuss) damit zu beauftragen, Gute Praktiken zu for- mulieren oder zu genehmigen. Diese könnten auch von der Branche selber erarbeitet wer- den. Diese Richtlinien wären nicht verbind- lich, könnten aber den Verantwortlichen bei der Datenbearbeitung als Referenz dienen.
Unter anderem könnten sie dazu beitragen, auf die aktuellsten technologischen Entwick- lungen abgestimmte Lösungen zu finden, ohne exzessiv zu regulieren. Die Verantwort- lichen hätten für die Datenbearbeitung einen gewissen Spielraum bei der Wahl einer Lö- sung und könnten diese auf die Risiken sowie das Volumen und die Art der bearbeiteten Da- ten abstimmen.
2. Berücksichtigung des Datenschutzes bereits in der Konzeptphase und als Standard («privacy by design» und «privacy by default»). Hier gin- ge es beispielsweise darum, die Verantwortli- chen der Datenbearbeitung zu verpflichten, eine Wirkungsanalyse durchzuführen, falls ein erhöhtes Risiko für Persönlichkeitsverlet-
3 Vorschlag für eine Ver- ordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Diese Verord- nung soll die aktuelle Richtlinie 95/46/EG des Europäischen Parla- ments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verar- beitung personenbezo- gener Daten und zum freien Datenverkehr (ABl. L 281, S. 31–50) ersetzen.
DIGITALISIERUNG
16 Die Volkswirtschaft 11/2015
zungen besteht. Die Verantwortlichen müss- ten Massnahmen treffen, die den eingegange- nen Risiken, dem Stand der Technik und den Kosten Rechnung tragen. Als Default-Ein- stellungen hätten sie grundsätzlich solche zu wählen, die aus Sicht des Datenschutzes am günstigsten sind. Eine weitere Massnahme würde darin bestehen, den Verantwortlichen der Datenbearbeitung die Möglichkeit zu ge- ben, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) abzuklä- ren, ob die beabsichtigte Bearbeitung unbe- denklich ist. So könnten sie allfällige Sanktio- nen vermeiden.
3. Mehr Transparenz bei Datenbearbeitungen.
Nutzer neuer Technologien müssen diese an- wenden und trotzdem frei entscheiden kön- nen, welche Angaben sie offenlegen wollen.
Dazu braucht es beim Sammeln und bei der Bearbeitung von Daten mehr Transparenz. Im aktuellen Gesetz existiert eine Informations- pflicht im Privatsektor nur dann, wenn schüt- zenswerte Daten und Persönlichkeitsprofile gesammelt werden. Es ginge hier darum, die- se Pflicht auf alle Datenkategorien auszudeh- nen, wie dies bereits für Bundesstellen der Fall ist. Die betroffenen Personen müssten au- sserdem informiert werden, wenn aufgrund einer rein automatisierten Bearbeitung von Daten eine Entscheidung gefällt wird, die sie betrifft, und dazu Stellung nehmen können.
Die Revisionsvorlage müsste ausserdem eine Meldepflicht für Datenschutzverletzungen gegenüber dem Edöb einführen und vorse- hen, dass mehr Angaben offenzulegen sind, wenn eine betroffene Person ihr Auskunfts- recht in Anspruch nimmt.
4. Sicherstellen einer besseren Kontrolle und Herrschaft über offengelegte Daten. Das Recht auf Vergessen, das bereits implizit aus den Artikeln 15 und 25 DSG abgeleitet werden kann, würde expliziter in Form eines aus- drücklichen «Rechts auf Löschung» veran- kert. Vorgesehen ist auch ein Mechanismus zur Streitbeilegung, der es den betroffenen Personen erlauben würde, ihre Rechte geltend zu machen, ohne dafür zwingend ein riskan- tes und kostspieliges Verfahren auf sich neh- men zu müssen.
5. Stärkung der Befugnisse des Edöb. Denkbar ist, dem Datenschutzbeauftragten eine Ver- fügungskompetenz einzuräumen, wie dies die Reformen auf europäischer Ebene vor- sehen und wie es der Schweiz im Rahmen der Schengen-Evaluation von 2014 empfoh- len wurde. Bisher kann der Edöb lediglich Empfehlungen abgeben. Ausserdem hat er die Möglichkeit, nicht befolgte Empfehlun- gen im Rahmen eines Gerichtsverfahrens durchzusetzen. Dies sind im Vergleich zu den Befugnissen der Kontrollbehörden an- derer europäischer Länder oder anderer Auf- sichtsorgane des Bundes, die häufig mit einer Verfügungskompetenz ausgestattet sind, re- lativ schwache Instrumente. Der Edöb könn- te demnach neu eine Verfügung erlassen, welche die Datenbearbeitung verbietet oder aussetzt oder der verantwortlichen Person vorschreibt, bestimmte Massnahmen zu treffen. In gewissen Fällen wäre er auch dazu befugt, Sanktionen zu verhängen. Seine Ver- fügungen könnten mittels Beschwerde ange- fochten werden.
Die Gesetzgebungsarbeiten laufen derzeit.
Der oben aufgeführte Massnahmenkatalog ist keineswegs vollständig oder definitiv. Dem EJPD steht es insbesondere frei, aufgrund der Ent- scheidungen der EU andere Möglichkeiten zu prüfen oder auf gewisse der genannten Punkte zu verzichten. Abschliessend ist darauf hinzu- weisen, dass der Datenschutz auch in der Politik seit mehreren Jahren ein Thema ist, was sich da- rin widerspiegelt, dass auf Bundesebene zahlrei- che parlamentarische Vorstösse zu dieser Frage eingereicht wurden (parlamentarische Initiati- ven, Motionen, Postulate).
Camille Dubois
Fachbereich Rechtsetzungsprojekte und -methodik, Bundesamt für Justiz (BJ), Bern
4 Vorschlag für eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Aufde- ckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung.
Diese Richtlinie soll die aktuelle Richtlinie ersetzen:
Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammen- arbeit in Strafsachen verarbeitet werden (ABl.
L 350/60, S. 60–71).
5 Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personen- bezogener Daten (SR 0.235.1).
6 In Bereichen, die nicht unter die Schengen/
Dublin-Abkommen fallen, gilt die Schweiz als Drittstaat. Der Datenaustausch mit der EU ist in diesem Fall grundsätzlich an die Bedingung geknüpft, dass die EU das Datenschutzrecht der Schweiz als gleichwer- tig anerkennt.
7 Normkonzept zur Revision des Daten- schutzgesetzes – Be- richt der Begleitgruppe Revision DSG vom 29. Oktober 2014.
